keyboard_tab DORA 2022/2554 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Art. 1 Oggetto
- Art. 2 Ambito di applicazione
- Art. 3 Definizioni
- Art. 4 Principio di proporzionalità
- Art. 5 Governance e organizzazione
- Art. 6 Quadro per la gestione dei rischi informatici
- Art. 7 Sistemi, protocolli e strumenti di TIC
- Art. 8 Identificazione
- Art. 9 Protezione e prevenzione
- Art. 10 Individuazione
- Art. 11 Risposta e ripristino
- Art. 12 Politiche e procedure di backup — Procedure e metodi di ripristino e recupero
- Art. 13 Apprendimento ed evoluzione
- Art. 14 Comunicazione
- Art. 15 Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico
- Art. 16 Quadro semplificato per la gestione dei rischi informatici
- Art. 17 Processo di gestione degli incidenti connessi alle TIC
- Art. 18 Classificazione degli incidenti connessi alle TIC e delle minacce informatiche
- Art. 19 Segnalazione dei gravi incidenti TIC e notifica volontaria delle minacce informatiche significative
- Art. 20 Armonizzazione dei modelli e dei contenuti per la segnalazione
- Art. 21 Centralizzazione delle segnalazioni di incidenti gravi connessi alle TIC
- Art. 22 Riscontri forniti dalle autorità di vigilanza
- Art. 23 Incidenti operativi o relativi alla sicurezza dei pagamenti riguardanti enti creditizi, istituti di pagamento, prestatori di servizi di informazione sui conti e istituti di moneta elettronica
- Art. 24 Requisiti generali per lo svolgimento dei test di resilienza operativa digitale
- Art. 25 Test di strumenti e sistemi di TIC
- Art. 26 Test avanzati di strumenti, sistemi e processi di TIC basati su test di penetrazione guidati dalla minaccia (TLPT)
- Art. 27 Requisiti per i soggetti incaricati dello svolgimento dei test per lo svolgimento dei TLPT
- Art. 28 Principi generali
- Art. 29 Valutazione preliminare del rischio di concentrazione delle TIC a livello di entità
- Art. 30 Principali disposizioni contrattuali
- Art. 31 Designazione dei fornitori terzi critici di servizi TIC
- Art. 32 Struttura del quadro di sorveglianza
- Art. 33 Compiti dell’autorità di sorveglianza capofila
- Art. 34 Coordinamento operativo tra autorità di sorveglianza capofila
- Art. 35 Poteri dell’autorità di sorveglianza capofila
- Art. 36 Esercizio dei poteri dell’autorità di sorveglianza capofila al di fuori dell’Unione
- Art. 37 Richiesta di informazioni
- Art. 38 Indagini generali
- Art. 39 Ispezioni
- Art. 40 Sorveglianza nel continuo
- Art. 41 Armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza
- Art. 42 Seguito dato dalle autorità competenti
- Art. 43 Commissioni per le attività di sorveglianza
- Art. 44 Cooperazione internazionale
- Art. 45 Meccanismi di condivisione delle informazioni e delle analisi delle minacce informatiche
- Art. 46 Autorità competenti
- Art. 47 Cooperazione con le strutture e le autorità istituite dalla direttiva (UE) 2022/2555
- Art. 48 Cooperazione tra autorità
- Art. 49 Comunicazione, cooperazione e attività finanziarie intersettoriali
- Art. 50 Sanzioni amministrative e misure di riparazione
- Art. 51 Esercizio del potere di imporre sanzioni amministrative e misure di riparazione
- Art. 52 Sanzioni penali
- Art. 53 Obblighi di notifica
- Art. 54 Pubblicazione delle sanzioni amministrative
- Art. 55 Segreto professionale
- Art. 56 Protezione dei dati
- Art. 57 Esercizio della delega
- Art. 58 Clausola di riesame
- Art. 59 Modifiche del regolamento (CE) n. 1060/2009
- Art. 60 Modifiche del regolamento (UE) n. 648/2012
- Art. 61 Modifiche del regolamento (UE) n. 909/2014
- Art. 62 Modifiche del regolamento (UE) n. 600/2014
- Art. 63 Modifiche del regolamento (UE) 2016/1011
- Articolo 64 Entrata in vigore e applicazione
CAPO I
Disposizioni generali
CAPO II
Gestione dei rischi informatici
Sezione I
Sezione II
CAPO III
Gestione, classificazione e segnalazione degli incidenti informatici
CAPO IV
Test di resilienza operativa digitale
CAPO V
Gestione dei rischi informatici derivanti da terzi
Sezione I
Principi fondamentali di una solida gestione dei rischi informatici derivanti da terzi
Sezione II
Quadro di sorveglianza dei fornitori terzi critici di servizi TIC
CAPO VI
Meccanismi di condivisione delle informazioni
CAPO VII
Autorità competenti
CAPO VIII
Atti delegati
CAPO IX
Disposizioni transitorie e finali
Sezione I
Sezione II
Modifiche
- resilienza operativa digitale
- sistema informatico e di rete
- sistema legacy
- sicurezza dei sistemi informatici e di rete
- rischi informatici
- patrimonio informativo
- risorse TIC
- incidente connesso alle TIC
- incidente operativo o di sicurezza dei pagamenti
- grave incidente TIC
- grave incidente operativo o di sicurezza dei pagamenti
- minaccia informatica
- minaccia informatica significativa
- attacco informatico
- analisi delle minacce
- vulnerabilità
- test di penetrazione guidato dalla minaccia (TLPT)
- rischi informatici TIC derivanti da terzi
- fornitore terzo di servizi TIC
- fornitore intragruppo di servizi TIC
- servizi TIC
- funzione essenziale o importante
- fornitore terzo critico di servizi TIC
- fornitore terzo di servizi TIC stabilito in un paese terzo
- impresa figlia
- gruppo
- impresa madre
- subappaltatore di TIC stabilito in un paese terzo
- rischio di concentrazione delle TIC
- organo di gestione
- ente creditizio
- ente esentato dalla direttiva 2013/36/UE
- impresa di investimento
- impresa di investimento piccola e non interconnessa
- istituto di pagamento
- istituto di pagamento esentato a norma della direttiva (UE) 2015/2366
- prestatore di servizi di informazione sui conti
- istituto di moneta elettronica
- istituto di moneta elettronica esentato a norma della direttiva 2009/110/CE
- controparte centrale
- repertorio di dati sulle negoziazioni
- depositario centrale di titoli
- sede di negoziazione
- gestore di fondi di investimento alternativi
- società di gestione
- fornitore di servizi di comunicazione dati
- impresa di assicurazione
- impresa di riassicurazione
- intermediario assicurativo
- intermediario assicurativo a titolo accessorio
- intermediario riassicurativo
- ente pensionistico aziendale o professionale
- piccolo ente pensionistico aziendale o professionale
- agenzia di rating del credito
- fornitore di servizi per le cripto-attività
- emittente di token collegati ad attività
- amministratore di indici di riferimento critici
- fornitore di servizi di crowdfunding
- repertorio di dati sulle cartolarizzazioni
- microimpresa
- autorità di sorveglianza capofila
- comitato congiunto
- piccola impresa
- media impresa
- autorità pubblica
- 1. Le CCP adottano, attuano e mantengono una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, comprendenti una politica di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC predisposti e attuati in conformità del regolamento (UE) 2022/2554, miranti ad assicurare il mantenimento delle funzioni, la ripresa tempestiva delle attività e l’adempimento degli obblighi della CCP.
- 3. Al fine di garantire l’applicazione coerente del presente articolo, l’ESMA, previa consultazione dei membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare il contenuto minimo e i requisiti della politica di continuità operativa e del piano di ripristino in caso di disastro, con l’esclusione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC.
- 3. Per assicurare l’applicazione uniforme del presente articolo, l’ESMA elabora progetti di norme tecniche di regolamentazione che specifichino, tranne che per i requisiti in materia di gestione dei rischi informatici, i dettagli della domanda di registrazione di cui al paragrafo 1.
- 6. I CSD individuano, controllano e gestiscono i rischi ai quali i principali partecipanti ai sistemi di regolamento titoli da essi operati nonché i fornitori di servizi e utenze, e altri CSD o altre infrastrutture di mercato possono esporre le loro attività. Su richiesta, forniscono alle autorità competenti e alle autorità rilevanti informazioni su ogni rischio siffatto individuato. Informano inoltre senza ritardo l’autorità competente e le autorità rilevanti in merito a eventuali incidenti operativi causati da tali rischi, tranne che in relazione ai rischi informatici.
- 7. L’ESMA, in stretta cooperazione con i membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare i rischi operativi di cui ai paragrafi 1 e 6, tranne che in relazione ai rischi informatici, i metodi per testare, gestire o ridurre al minimo tali rischi, ivi compresi le politiche di continuità operativa e i piani di ripristino in caso di disastro di cui ai paragrafi 3 e 4, nonché i metodi di valutazione degli stessi.
- 5. I CTP rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- 3. Gli ARM rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- rischi_informatici 12
- gestione 8
- quadro 7
- paragrafo 6
- ulteriormente 5
- norme 5
- secondo 5
- specificare 5
- sistemi 5
- regolamentazione 4
- tecniche 4
- misure 4
- continuità 4
- piani 4
- informatici 3
- primo 3
- dati 3
- progetti 3
- incidenti 3
- operativa 3
- sicurezza 3
- istituti 3
- direttiva 3
- norma 3
- esentati 3
- test 3
- presente 3
- regolamento 3
- n / 3
- l’impatto 2
- minimo 2
- strumenti 2
- attraverso 2
- attività 2
- l’uso 2
- servizi 2
- elementi 2
- disponibilità 2
- protocolli 2
- lettera 2
- l’autenticità 2
- l’integrità 2
- riservatezza 2
- rete 2
- costantemente 2
- riesame 2
- relazione 2
- periodicamente 2
- nonché 2
- l’efficacia 2
Articolo 16
Quadro semplificato per la gestione dei rischi_informatici
1. Gli articoli da 5 a 15 del presente regolamento non si applicano alle imprese di investimento piccole e non interconnesse e agli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366; agli istituti esentati a norma della direttiva 2013/36/UE per i quali gli Stati membri hanno deciso di non applicare l’opzione di cui all’articolo 2, paragrafo 4, del presente regolamento; agli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE; e ai piccoli enti pensionistici aziendali o professionali.
Fermo restando il primo comma, le entità elencate al primo comma:
| a) | pongono in essere e mantengono un solido e documentato quadro per la gestione dei rischi_informatici che precisa i meccanismi e le misure finalizzate a una gestione rapida, efficiente e organica dei rischi_informatici, anche ai fini della protezione delle pertinenti infrastrutture e componenti fisiche; |
| b) | monitorano costantemente la sicurezza e il funzionamento di tutti i sistemi di TIC; |
| c) | riducono al minimo l’impatto dei rischi_informatici attraverso l’uso di sistemi, protocolli e strumenti di TIC solidi, resilienti e aggiornati e atti a supportare lo svolgimento delle loro attività e la fornitura di servizi e a proteggere adeguatamente la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati nei sistemi informatici e di rete; |
| d) | provvedono a che le fonti di rischi_informatici e le anomalie dei sistemi informatici e di rete siano tempestivamente individuate e rilevate e che gli incidenti connessi alle TIC siano trattati con rapidità; |
| e) | individuano le principali dipendenze da fornitori terzi di servizi TIC; |
| f) | garantiscono la continuità delle funzioni essenziali o importanti, attraverso piani di continuità operativa e misure di risposta e recupero, che comprendano almeno misure di back-up e ripristino; |
| g) | testano periodicamente i piani e le misure di cui alla lettera f) nonché l’efficacia dei controlli attuati in conformità delle lettere a) e c); |
| h) | attuano, se del caso, le opportune conclusioni operative risultanti dai test di cui alla lettera g) e dall’analisi successiva all’incidente nel processo di valutazione dei rischi_informatici ed elaborano, in funzione delle esigenze e del profilo dei rischi_informatici, programmi di formazione e sensibilizzazione sulla sicurezza delle TIC per il personale e la dirigenza. |
2. Il quadro per la gestione dei rischi_informatici di cui al paragrafo 1, secondo comma, lettera a), è documentato e riesaminato periodicamente e al verificarsi di incidenti gravi connessi alle TIC conformemente alle istruzioni delle autorità di vigilanza. Il quadro è costantemente migliorato sulla base degli insegnamenti tratti dall’attuazione e dal monitoraggio. Su sua richiesta, è presentata all’autorità competente una relazione sul riesame del quadro per la gestione dei rischi_informatici.
3. Tramite il comitato_congiunto e in consultazione con l’ENISA, le AEV elaborano progetti di norme tecniche di regolamentazione comuni al fine di:
| a) | specificare ulteriormente gli elementi da includere nel quadro per la gestione dei rischi_informatici di cui al paragrafo 1, secondo comma, lettera a); |
| b) | specificare ulteriormente gli elementi relativi ai sistemi, ai protocolli e agli strumenti per ridurre al minimo l’impatto dei rischi_informatici di cui al paragrafo 1, secondo comma, lettera c), allo scopo di garantire la sicurezza delle reti, introdurre salvaguardie adeguate contro le intrusioni e l’uso improprio dei dati e preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati; |
| c) | specificare ulteriormente le componenti dei piani di continuità operativa delle TIC di cui al paragrafo 1, secondo comma, lettera f); |
| d) | specificare ulteriormente le norme riguardanti i test sui piani di continuità operativa e assicurare l’efficacia dei controlli di cui al paragrafo 1, secondo comma, lettera g), e garantire che tali test tengano debitamente conto degli scenari in cui la qualità dell’esercizio di una funzione_essenziale_o_importante si deteriora a un livello inaccettabile o viene meno; |
| e) | specificare ulteriormente il contenuto e il formato della relazione sul riesame del quadro per la gestione dei rischi_informatici di cui al paragrafo 2. |
All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni.
Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 gennaio 2024.
Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.
CAPO III
Gestione, classificazione e segnalazione degli incidenti informatici
whereas